Prakbm Tanggal : 12 Februari 2011 DIAGNOSA WAN
Challenge-Handshake Authentication Protocol (CHAP)
Nama : Ira Rubiyanti Kelas : 3 TKJ A Instruktur : Bu Neti Amelia Pak Rudi Haryadi
Pengertian CHAP adalah mekanisme otentikasi menggunakan server PPP untuk memvalidasi user remote pada saat 3-way handshake. CHAP mekanisme otentikasi yang di enkripsi untuk melindungi user dan password. NAS mengirimkan challenge, yang mana terdiri dari Session ID dan challenge string ke remote client. Pada Remote client harus menggunakan Algoritma MD- 5 one-way hashing untuk mengembalikan user name dan kunci hash dari challenge, session ID dan client password tadi, tetapi user name dikirimkan plain text Ini adalah langkah umum dilakukan di CHAP: 1) Challenge : Setelah LCP (Link Control Protocol) fase selesai, dan CHAP dinegosiasikan antara kedua perangkat, authenticator mengirim pesan "challenge" ke peer. 2) Response : Aktifitas peer merespon dengan nilai yang dihitung melalui fungsi "satu arah hash " (Message Digest 5 (MD5)). 3) Success or Failure : Setelah authenticator memeriksa respon terhadap perhitungan tersendiri dari nilai hash yang diharapkan. Jika nilai cocok, otentikasi berhasil. Jika tidak, maka sambungan diakhiri. Keuntungan CHAP memberikan perlindungan terhadap serangan pemutaran oleh peer melalui penggunaan uatu bertahap mengubah pengenal dan variable tantangan nilai. Penggunaan tantangan berulang dimaksudkan untuk membatasi waktu pajanan terhadap setiap serangan tunggal. authenticator ini di mengendalikan frekuensi dan waktu dari tantangan. Metode otentikasi ini tergantung pada sebuah "rahasia" yang hanya diketahui oleh authenticator dan rekan itu. Rahasia ini tidak dikirim melalui link. Meskipun otentikasi hanya satu arah, dengan negosiasi CHAP di kedua arah set rahasia yang sama dengan mudah dapat digunakan untuk saling otentikasi. Sejak CHAP dapat digunakan untuk mengotentikasi banyak sistem yang berbeda, nama bidang dapat digunakan sebagai indeks untuk menemukan rahasia yang tepat dalam besar tabel rahasia. Hal ini juga memungkinkan untuk mendukung lebih dari satu nama / pasangan rahasia per sistem, dan untuk mengubah rahasia yang digunakan pada setiap saat selama sesi tersebut.
Kekurangan CHAP mensyaratkan bahwa rahasia tersedia dalam bentuk plaintext. Irreversably password terenkripsi database yang umum tersedia tidak dapat digunakan. Hal ini tidak berguna untuk instalasi besar, karena setiap kemungkinan rahasia dijaga pada kedua ujung link. Pelaksanaan Catatan: Untuk menghindari mengirim rahasia di atas link lainnya dalam jaringan, dianjurkan bahwa tantangan dan respon Nilai diperiksa pada server pusat, bukan masing-masing jaringan mengakses server. Jika tidak, rahasia HARUS dikirim ke seperti server dalam bentuk terenkripsi reversably. Entah kasus memerlukan terpercaya hubungan, yang berada di luar lingkup ini spesifikasi. Persyaratan Pembaca dokumen ini harus memiliki pengetahuan tentang topik ini: 1) Cara mengaktifkan PPP pada interface melalui perintah ppp enkapsulasi. 2) Negosiasi debug ppp perintah output. 3) Kemampuan untuk memecahkan masalah ketika Link Control Protocol (LCP) tahap tidak dalam keadaan terbuka. Ini karena, fase otentikasi PPP tidak dimulai sampai tahap LCP selesai dan dalam keadaan terbuka. Jika perintah debug ppp negosiasi tidak menunjukkan bahwa LCP terbuka, Anda harus memecahkan masalah ini sebelum melanjutkan. Catatan: Dokumen ini tidak membahas MS-CHAP (Versi 1 atau Versi 2). Configure CHAP Prosedur untuk mengkonfigurasi CHAP cukup mudah. Sebagai contoh, asumsikan bahwa Anda memiliki dua router, kiri dan kanan, dihubungkan melalui jaringan, seperti yang ditunjukkan pada gambar berikut.
Untuk mengkonfigurasi otentikasi CHAP, lengkap langkah-langkah: 1. Pada interface, mengeluarkan perintah enkapsulasi ppp. 2. Aktifkan penggunaan otentikasi CHAP pada kedua router dengan perintah otentikasi ppp chap. 3. Mengkonfigurasi username dan password. Untuk melakukannya, masalah username password username perintah kata sandi, di mana username adalah nama host dari peer. Pastikan bahwa: * Sandi yang sama pada kedua ujungnya. *Nama router dan password yang persis sama, karena mereka adalah case-sensitive.
One-Way and Two-Way Authentication CHAP didefinisikan sebagai metode otentikasi satu arah. Namun, Anda menggunakan CHAP di kedua arah untuk membuat two-way authentication. Oleh karena itu, dengan dua arah CHAP, three-way handshake yang terpisah dimulai oleh masing-masing pihak. Dalam pelaksanaan CHAP Cisco, secara default, pihak yang disebut harus mengotentikasi panggilan (kecuali otentikasi adalah sepenuhnya dimatikan). Oleh karena itu, one-way authentication yang diprakarsai oleh pihak disebut otentikasi mungkin minimum. Namun, penelepon juga dapat memverifikasi identitas pihak yang disebut, dan ini menghasilkan two-way authentication. One-way authentication seringkali diperlukan saat Anda terhubung ke perangkat non-Cisco. Untuk one-way authentication, mengkonfigurasi ppp authentication chap dengan perintah. Authentication Type One-way (unidirectional) Two-way (bidirectional)
Client (calling) ppp authentication chap callin ppp authentication chap
NAS (called) ppp authentication chap ppp authentication chap
CHAP Configuration Commands and Options Daftar perintah CHAP : Command ppp authentication {chap | mschap | ms-chap-v2 | eap |pap} [callin] ppp chap hostname username
ppp chap password password
Description Perintah ini memungkinkan autentikasi lokal dari peer PPP jauh dengan protokol tertentu. Perintah ini mendefinisikan interface-CHAP hostname tertentu. Lihat PPP to Authentication Using the ppp chap hostname and ppp authentication chap callin Commands for more information. Perintah ini mendefinisikan sebuah password CHAP interface-spesifik.
ppp direction callin | callout | dedicated
komandonya memaksa arah panggilan. Gunakan perintah ini bila suatu penerus bingung apakah panggilan masuk atau keluar (misalnya, ketika terhubung back-to-back atau dihubungkan dengan leased line dan Channel Unit Pelayanan atau Data Service Unit (CSU / DSU) atau ISDN Terminal Adapter (TA) yang dikonfigurasi untuk dial).
ppp chap refuse [callin]
ppp chap wait
ppp max-bad-auth value
ppp max-bad-auth value
ppp chap ignoreus
Perintah ini Menonaktifkan otentikasi remote oleh peer (default diaktifkan). Dengan perintah ini, CHAP otentikasi dinonaktifkan untuk semua panggilan, yang berarti bahwa semua upaya oleh peer untuk memaksa pengguna untuk otentikasi dengan bantuan CHAP ditolak. Opsi menelepon menetapkan bahwa router menolak untuk menjawab tantangan otentikasi CHAP diterima dari peer, tapi masih membutuhkan rekan untuk menjawab tantangan CHAP bahwa router mengirimkan. Perintah ini menetapkan bahwa pemanggil harus mengotentikasi pertama (default diaktifkan). Perintah ini menetapkan bahwa router tidak akan otentikasi untuk peer yang meminta otentikasi CHAP sampai setelah rekan telah dikonfirmasi sendiri ke router. Perintah ini menetapkan yang diizinkan retries otentikasi (nilai default adalah 0). Perintah ini akan mengonfigurasi interface point-to-point tidak untuk me-reset sendiri segera setelah kegagalan otentikasi, melainkan untuk memungkinkan jumlah tertentu retries otentikasi. Perintah tersembunyi memungkinkan nama host yang berbeda untuk sebuah tantangan CHAP dan respon (nilai default dinonaktifkan). Perintah ini mengabaikan tantangan tersembunyi CHAP dengan nama lokal (nilai default diaktifkan).
Configuration Option Format Sebuah ringkasan dari format Konfigurasi Opsi-Protokol Otentikasi untuk menegosiasikan Challenge-Handshake Protokol Otentikasi ditampilkan dari kiri ke kanan.
Type Length Authentication-Protocol Algorithm
:3 :5 : c223 (hex) for Challenge-Handshake Authentication Protocol. : Bidang Algoritma adalah satu oktet dan menunjukkan metode otentikasi untuk digunakan. Up-to-date nilai-nilai yang ditentukan dalam terbaru "Assigned Numbers" [2]. Satu nilai diperlukan untuk diterapkan: 5 CHAP with MD5 [3]
Packet Format Tepat satu Challenge-Handshake Protokol Otentikasi paket dikemas dalam bidang Informasi bingkai Data Link Layer PPP di mana medan protokol menunjukkan hex tipe c223 (ChallengeHandshake Authentication Protocol). Sebuah ringkasan dari format paket CHAP ditampilkan di bawah. Bidang ditularkan dari kiri ke kanan.
Kode Bidang adalah satu oktet dan mengidentifikasi jenis paket CHAP. Kode CHAP sebagai berikut: 1. 2. 3. 4.
Challenge Response Success Failure
Identifier Bidang Identifier adalah satu oktet dan membantu dalam tantangan pencocokan, tanggapan dan balasan. length Bidang Panjang adalah dua oktet dan menunjukkan panjang CHAP paket termasuk Kode, Identifier, Panjang dan Data bidang. Oktet di luar jangkauan field Panjang harus padding diperlakukan sebagai Data Link Layer dan harus diabaikan pada penerimaan. Data Bidang Data adalah nol atau lebih oktet. Format Data lapangan ditentukan oleh kolom Kode.
Challenge dan Response Deskripsi Paket Challenge digunakan untuk memulai Challenge-Handshake Protokol Otentikasi. authenticator HARUS mengirimkan CHAP paket dengan kolom Kode set ke 1 (Challenge). Tambahan paket Tantangan HARUS dikirim sampai paket Respon valid diterima, atau coba lagi opsional counter berakhir. Peer HARUS mengharapkan paket Challenge selama Otentikasi fasa dan Jaringan-Layer fase Protokol. Setiap kali sebuah Tantangan paket diterima, peer HARUS mengirimkan paket CHAP dengan kolom Kode diatur ke 2 (Response). Setiap kali paket Respon diterima, authenticator membandingkan. Tanggapan Nilai dengan perhitungan sendiri nilai yang diharapkan. Berdasarkan perbandingan ini, authenticator HARUS mengirim Sukses atau Kegagalan paket (dijelaskan di bawah). Catatan: Karena Sukses mungkin hilang, HARUS authenticator memungkinkan diulang paket Respon selama Network-Layer Protocol fase setelah menyelesaikan Otentikasi fase. Untuk mencegah penemuan alternatif Nama dan Rahasia, setiap paket Respon yang diterima memiliki Tantangan saat Identifier HARUS mengembalikan jawaban yang sama Kode sebelumnya kembali untuk yang Challenge tertentu (pesan Bagian MUNGKIN akan berbeda). Setiap paket Respon diterima selama semua tahap lainnya HARUS dibuang diam-diam. Ketika Kegagalan hilang, dan authenticator yang mengakhiri link, LCP Terminate-Permintaan dan Hentikan-Ack memberikan indikasi alternatif yang otentikasi gagal.
Ringkasan Challenge dan format Respon paket ditampilkan di bawah.
Kode 1) untuk Challenge; 2) untuk Respon. Identifier Bidang Identifier adalah satu oktet. Bidang Identifier HARUS berubah setiap kali Challenge dikirim. Respon Identifier HARUS disalin dari lapangan Identifier dari Challenge yang menyebabkan Respon. Value-Size Bidang ini adalah salah satu oktet dan menunjukkan panjang Nilai lapangan. Value Bidang Nilai adalah satu atau lebih oktet. Oktet paling signifikan ditransmisikan pertama. Nilai Challenge aliran variabel oktet. Pentingnya keunikan Nilai Challenge dan perusahaan hubungan dengan rahasia dijelaskan di atas. Tantangan Nilai HARUS berubah setiap kali Challenge dikirim. Panjang dari Nilai Challenge tergantung pada metode yang digunakan untuk menghasilkan pada oktet, dan independen dari algoritma hash yang digunakan. Nilai Respon adalah hash satu arah dihitung atas aliran oktet terdiri dari Identifier, diikuti oleh (bersambung dengan) "rahasia", diikuti oleh (concatenated dengan) Challenge Nilai. Panjang Nilai Respon tergantung hash Algoritma yang digunakan (16 octet untuk MD5).
Success and Failure Deskripsi Jika nilai yang diterima dalam Respon adalah sama dengan yang diharapkan nilai, maka pelaksanaan HARUS mengirimkan paket CHAP dengan kolom Kode set ke 3 (Sukses). Jika nilai yang diterima dalam Respon tidak sama dengan yang diharapkan nilai, maka pelaksanaan HARUS mengirimkan paket CHAP dengan kolom Kode diatur ke 4 (Kegagalan), dan HARUS mengambil tindakan untuk mengakhiri link. Ringkasan Sukses dan format Kegagalan paket ditampilkan di bawah.
Kode 3 untuk Sukses; 4 untuk Kegagalan. Identifier Bidang Identifier adalah satu oktet dan membantu dalam pencocokan permintaan dan balasan. Bidang Identifier HARUS disalin dari Identifier bidang Respon yang menyebabkan balasan.
Referensi : http://deris.unsri.ac.id/materi/security/bab3Protocol%20Secured.pdf [12 Februari 2011] …. , 2005 Understanding and Configuring PPP CHAP Authentication [online] http://www.cisco.com/en/US/tech/tk713/tk507/technologies_tech_note09186a00800b4131.sh tml [ 12 Februari 2011] Simpson,W. 1996. PPP Challenge Handshake Authentication Protocol (CHAP) [online] http://www.ietf.org/rfc/rfc1994.txt [12 Februari 2011] http://www.javvin.com/protocolCHAP.html [12 Februari 2011]
